azure - 如何在KQL中做fullanti join？

问题描述

我试图在时间（t）中查找表中的更改，以获取在时间（t）期间删除和添加的两条记录的结果。

它是a，A并集B-（A交集B）在一段时间t内。

我写了以下查询

let t = startofday(ago(7d));

let oldData =
Table_T
| where TimeGenerated > t and TimeGenerated < startofday(now())
| project Name, Col1, Col2, ....;

let currentData = 
Table_T
| where TimeGenerated > startofday(now())
| project Name, Col1, Col2, ....;

let addedRecords = 
currentData
| join kind=rightanti oldData;

let removedRecords = 
currentData
| join kind=leftanti oldData;

removedRecords
| union addedRecords

有人可以就同一用例的任何改进/其他解决方案提出建议/建议吗？

TIA

标签： azurekqlazure-monitoring